Pour commencer à utiliser VMware Cloud on AWS pour exécuter des charges de travail dans votre SDDC, vous devez configurer un réseau qui connecte votre centre de données sur site au SDDC. Ce réseau peut inclure une connexion dédiée sur AWS Direct Connect, un VPN IPSec ou les deux.

Si le routage du trafic VPN IPSec sur Direct Connect peut fournir de meilleures performances à des coûts inférieurs, vous pouvez commencer par configurer un VPN IPSec qui se connecte à votre SDDC sur Internet, puis reconfigurer ce VPN pour utiliser Direct Connect ultérieurement.

Lorsque vous ouvrez l'onglet Mise en réseau et sécurité d'un nouveau SDDC, vous pouvez exécuter l'assistant Configuration de la mise en réseau et de la sécurité pour vous guider tout au long des étapes nécessaires pour configurer Direct Connect et un VPN, accéder à l'instance de vCenter dans votre SDDC et modifier le serveur DNS par défaut si vous le souhaitez.

Si vous souhaitez simplement un VPN basé sur une route connectant votre centre de données sur site à votre SDDC sur Internet, suivez ces étapes.

Conditions préalables

Vous devez disposer du rôle de service Administrateur NSX pour afficher et configurer les fonctionnalités de l'onglet Mise en réseau et sécurité. Reportez-vous à la section Attribuer des rôles de service NSX aux membres de l'organisation du guide Mise en réseau et sécurité de VMware Cloud on AWS.

Procédure

  1. Créez un VPN basé sur les routes dans le SDDC.
    Un VPN basé sur les routes crée une interface de tunnel IPSec et achemine le trafic via celui-ci, comme indiqué par la table de routage du SDDC. Un VPN basé sur les routes fournit un accès sécurisé et fiable à plusieurs sous-réseaux. Si vous utilisez un VPN basé sur les routes, de nouvelles routes sont ajoutées automatiquement lors de la création de nouveaux réseaux. Reportez-vous à la section Créer un VPN basé sur une route du guide Mise en réseau et sécurité de VMware Cloud on AWS.
  2. Configurer un VPN IPsec sur site.
    Vous pouvez utiliser NSX ou tout autre périphérique capable de mettre fin à un VPN IPsec.
    Important :

    L'extrémité SDDC d'un VPN IPSec prend uniquement en charge la nouvelle génération de clé en fonction du temps. Votre périphérique sur site doit désactiver le renouvellement de clés lifebytes.

    Ne configurez pas le côté sur site du VPN afin d'avoir un délai d'inactivité (par exemple, le paramètre NSX Délai d'inactivité de session ). Les délais d'inactivité sur site peuvent ponctuellement provoquer la déconnexion du VPN.

    1. Si votre passerelle VPN sur site se trouve derrière un pare-feu, vous devez configurer ce pare-feu pour qu'il transfère le trafic du protocole IPsec :
      • Ouvrez le port UDP 500 pour autoriser le transfert du trafic ISAKMP (Internet Security Association and Key Management Protocol) via le pare-feu.
      • Définissez l'ID du protocole IP sur 50 pour autoriser le transfert du trafic ESP (Encapsulating Security Protocol) IPsec via le pare-feu.
      • Définissez l'ID du protocole IP sur 51 pour autoriser le transfert du trafic AH (Authentication Header) via le pare-feu.
    2. Téléchargez le fichier de configuration du VPN IPsec du SDDC.
      Pour plus d'informations sur le contenu de ce fichier et comment l'utiliser pour vous permettre de configurer votre point de terminaison VPN sur site, reportez-vous à la section Référence des paramètres de VPN IPsec du guide Mise en réseau et sécurité de VMware Cloud on AWS.
  3. (Facultatif) Créez un segment de réseau.
    Un SDDC de démarrage à hôte unique est créé avec un seul segment de réseau routé nommé sddc-cgw-network-1. Les SDDC à hôtes multiples sont créés sans segment de réseau par défaut, vous devez donc en créer au moins un pour vos machines virtuelles de charge de travail. Reportez-vous à la section Créer un segment de réseau du guide Mise en réseau et sécurité de VMware Cloud on AWS.
  4. Créez des règles de pare-feu de base sur la passerelle de gestion.
    Par défaut, la passerelle de gestion bloque le trafic vers toutes les destinations depuis toutes les sources. Ajoutez des règles de pare-feu de passerelle de gestion pour autoriser le trafic si nécessaire. Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de gestion du guide Mise en réseau et sécurité de VMware Cloud on AWS.
  5. Configurez un DNS privé de réseau de gestion.
    Spécifiez les adresses de vos serveurs DNS privés afin que la passerelle de gestion, les hôtes ESXi et les machines virtuelles de gestion résolvent les noms de domaine complet en adresses IP sur le réseau de gestion. Pour utiliser des fonctionnalités telles que la migration avec vMotion, la migration à froid ou le mode lié hybride, définissez la résolution de vCenter Server sur une adresse IP privée pouvant être résolue à partir de la connexion VPN. Reportez-vous à la section Définir l'adresse de résolution du nom de domaine complet de HCX du guide Mise en réseau et sécurité de VMware Cloud on AWS.